【正文】 。Intra 內(nèi)聯(lián)網(wǎng)（企業(yè)網(wǎng)）216。SSN 安全服務(wù)區(qū)n 防 火 墻 n 為為 網(wǎng)網(wǎng) 絡(luò)絡(luò) 用用 戶戶 提提 供供 安安 全全 的的 Inter 接接 入入InterDMZ WEB服務(wù)層Intra 內(nèi)部網(wǎng)絡(luò)Web FTP防火墻 FireWallWeb Site Filter? Web 站 點(diǎn) 訪 問 過 濾 –限限 制制 對對 非非 本本 企企 業(yè)業(yè) 業(yè)業(yè) 務(wù)務(wù) 目目 的的 的的 Inter 資資 源源 的的 訪訪 問問 Connection to outside workConnection to inside workConnection to work 的 Web服務(wù)層交換機(jī)Inter 核心交換機(jī) 交換機(jī) 交換機(jī)PC PC PC PC PC PC 防火墻防火墻需要了解的內(nèi)容：防火墻的區(qū)域端口SERVERDMZ SERVERSERVERINTRANETINTERNET IT領(lǐng)域防火墻的概念 一種高級訪問控制設(shè)備，置于不同安全域之間，是不同安全域之間的 唯一通道 ，能根據(jù)企業(yè)有關(guān)的安全政策執(zhí)行 允許，拒絕，監(jiān)視，記錄 進(jìn)出網(wǎng)絡(luò)的行為。 防火墻是一個(gè)或一組系統(tǒng)，用于管理兩個(gè)網(wǎng)絡(luò)直接防火墻是一個(gè)或一組系統(tǒng)，用于管理兩個(gè)網(wǎng)絡(luò)直接的訪問控制及策略的訪問控制及策略216。 防火墻本身必須有很強(qiáng)的免疫力防火墻本身必須有很強(qiáng)的免疫力TCP/IP協(xié)議－協(xié)議層次OSI/RM模型 TCP/IP協(xié)議棧物理層數(shù)據(jù)鏈接層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層 應(yīng)用層網(wǎng)絡(luò)接口層IP層傳輸層HTTP FTP SMTP ……TCP UDPIP ICMP ARP以太網(wǎng)， ATM， FDDI…需要了解的內(nèi)容： TCP/IP應(yīng)用層TCP/IP協(xié)議簇－數(shù)據(jù)包各層協(xié)議結(jié)構(gòu)MAC幀 首部 尾部首部IP數(shù)據(jù)報(bào)首部傳輸層MAC地址源 IP,目的 IP、協(xié)議類型數(shù)據(jù)部份數(shù)據(jù)部份數(shù)據(jù)部份ICMP IGMP EGP OSPF ARPTCP UDP應(yīng)用層源端口 ,目的端口TELNET,SMTP,FTP, HTTP,DNS,SNMP,DHCP RIP...鏈路層IP層各層首部長度：MAC幀首部 14B,尾部 4B,IP數(shù)據(jù)報(bào)首部 20B,TCP: 20B,UDP:8B,ICMP:8BTCP/IP協(xié)議簇?IP層協(xié)議：?IP : 網(wǎng)際協(xié)議 ICMP: 網(wǎng)際控制報(bào)文協(xié)議 ARP 地址解析協(xié)議?傳輸層協(xié)議：?TCP: 傳輸控制協(xié)議 特點(diǎn)：面向連接，較可靠。?UDP:用戶數(shù)據(jù)報(bào)協(xié)議 特點(diǎn)：無連接，不可靠，盡最大努力交付。安全性提高了。 裝有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令。? 包括分組過濾，應(yīng)用網(wǎng)關(guān)，電路級網(wǎng)關(guān)。三、防火墻核心技術(shù)216。狀態(tài)檢測包過濾防火墻狀態(tài)檢測包過濾防火墻216。包過濾和應(yīng)有代理復(fù)合性防火墻包過濾和應(yīng)有代理復(fù)合性防火墻216。篩選路由器216。被屏蔽主機(jī)216。 DoS ( Denial of Service ) 拒絕服務(wù)攻擊216。216。 　　分布式拒絕服務(wù)攻擊216。216。與 MAC地址綁定時(shí)間策略在訪問中配置某條規(guī)則起作用的時(shí)間。NAT 網(wǎng)絡(luò)地址轉(zhuǎn)換? 隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)? 內(nèi)部網(wǎng)絡(luò)可以使用私有 IP地址NAT原理－源地址轉(zhuǎn)換網(wǎng)關(guān)： Intra:Inter:報(bào)頭 數(shù)據(jù)源地址： 目的地址： 報(bào)頭 數(shù)據(jù)源地址： 目的地址： NAT轉(zhuǎn)換的數(shù)據(jù)包經(jīng)過 NAT轉(zhuǎn)換后，源地址成為 MAP端口（地址）映射 MAP也稱為反向 NAT網(wǎng)關(guān)： Intra:Inter:報(bào)頭 數(shù)據(jù)源地址： 目的地址： 報(bào)頭 數(shù)據(jù)源地址： 目的地址： MAP映射MAP映射原理－目的地址轉(zhuǎn)換的數(shù)據(jù)包經(jīng)過 MAP映射后，目的地址成為 服務(wù)器負(fù)載均衡? 負(fù)載均衡算法：? 順序選擇算法＋權(quán)值? 根據(jù) PING的時(shí)間間隔來選擇地址＋權(quán)值? 根據(jù) CONNET的時(shí)間間隔來選擇地址＋權(quán)值? 根據(jù) CONNET來發(fā)送請求并得到應(yīng)答的時(shí)間間隔來選擇地址＋權(quán)值 根據(jù)負(fù)載均衡算法將數(shù)據(jù)重定位到一臺(tái)WWW服務(wù)器 減少單個(gè)服務(wù)器負(fù)載防火墻對 TRUCK協(xié)議的支持 支持第三方認(rèn)證服務(wù)器 支持第三方 RADIUS服務(wù)器認(rèn)證支持 OTP認(rèn)證服務(wù)器與 IDS的安全聯(lián)動(dòng)IDS：入侵檢測系統(tǒng)。為什么需要 IDS216。利用應(yīng)用系統(tǒng)漏洞實(shí)施的入侵216。 防范來自內(nèi)部網(wǎng)的入侵216。沒有監(jiān)測的內(nèi)部網(wǎng)是內(nèi)部人員的 “自由王國 ”216。 入侵很容易216。各種工具唾手可得216。對于交換式 HUB來說和交換機(jī)連接方法類似硬件安裝：入侵檢測系統(tǒng)接入方式之 HUB入侵檢測系統(tǒng)連接方式 ? 硬件安裝：入侵檢測系統(tǒng)接入方式之交換機(jī)注意事項(xiàng)：鏡像多個(gè)源端口可能導(dǎo)致鏡像端口丟包應(yīng)對收發(fā)端口同時(shí)進(jìn)行鏡像接到 INTRANET一般直接連入 核心交換機(jī) ,用來 檢測在核心交換機(jī)上的服務(wù)器等網(wǎng)絡(luò)服務(wù)設(shè)備 .與病毒服務(wù)器的安全聯(lián)動(dòng)SNMP管理防火墻的不足之處216。216。無法防護(hù)端口木馬的攻擊216。無法防護(hù)非法通道的出現(xiàn)216。 人們不斷發(fā)現(xiàn)利用以前可信賴的服務(wù)的新的侵襲方法。衡量防火墻的五大性能指標(biāo)：216。216。216。216。216。吞吐量定義： 在不丟包的情況下，能夠達(dá)到的最大速率。時(shí) 延? 定義： 入口處輸入幀最后一個(gè)最后一個(gè)比特到達(dá)至出口處輸出幀第一個(gè)比特輸出所用的時(shí)間間隔。丟包率? 定義： 在穩(wěn)定負(fù)載下，應(yīng)由網(wǎng)絡(luò)設(shè)備傳輸，但由于資源缺乏而被丟棄的幀的百分比。背靠背? 定義： 比空閑狀態(tài)開始，以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長度的幀，當(dāng)出現(xiàn)第一個(gè)幀丟失時(shí)，發(fā)送的幀數(shù)。并發(fā)連接數(shù)? 定義： 指穿越防火墻的主機(jī)之間或主機(jī)與防火墻之間能同時(shí)建立的連接數(shù)